【鉄壁】iptablesの使い方 3【ファイアウォール】

[過去ﾛｸﾞ] 【鉄壁】iptablesの使い方 3【ファイアウォール】 (995ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

56(1): 2006/02/12(日) 14:46:46 ID:MPTsoJ+a(3/4)調 AAS
>>55
え？君のは5秒間に1回のみ許可だと思うけど。
最初のパケットは、ACCEPTされるけど、5秒以内に同じパケットが来たら、別の処理だろ？
そして5秒に1度バーストが回復する。
つまり5秒に1度しか受け付けない。

だと思うんだけど、どこにその処理を求めるレスがあったのかがわからない。

57(1): 2006/02/12(日) 14:50:20 ID:MPTsoJ+a(4/4)調 AAS
と言うことは1秒間に5回のみACCEPTというのは

-m limit 5/s -j ACCEPT
(-m limit 5/s --limit-burst 5 -j ACCEPT)

と言うのが正解？

これなら0.2秒でバーストが回復するから実質的に1秒間に5回って事かな

58: 2006/02/12(日) 19:34:18 ID:7VrYtKU0(4/4)調 AAS
>>56
元ネタの提供は>>43ね。

> 本来なら、5秒間に1回のPingのみを受理して欲しいのですが、
↑これがそう。

で、それが解決する前に>>48が1秒間に5回の場合のネタ振って
話が逸れたけど、結局のところlimitの分かりにくさの話ではある。

>>57
そうそう、そういうこと。

59: 2006/02/14(火) 17:40:39 ID:VGzO3A6v(1)調 AAS
iptabels用のシェルスクリプトが紛失している場合、現在saveしているフィルタリングの内容を
シェルスクリプトに生成しなおすような事って出来ないんでしょうか？
やっぱり-Lで表示しているのを元に書き直すしかないんでしょうか？

60(1): 2006/02/14(火) 18:22:13 ID:hXccECX0(1)調 AAS
ものによるけどCentOSなら
/etc/sysconfig/iptables.save
が今セーブされているやつ

61(2): 2006/02/15(水) 03:43:13 ID:I+2RE0fx(1)調 AAS
>>60
debianってそういうのある？

62(1): 2006/02/15(水) 06:08:07 ID:U3aF0Irf(1/3)調 AAS
>>61
dabianいじったことないけど、
どこかしらに保存されているはず。

63(2): 2006/02/15(水) 07:48:22 ID:hLM2TSS7(1/2)調 AAS
>>62
/var/lib/iptables/active

64(4): 2006/02/15(水) 19:54:50 ID:pFaenui0(1/3)調 AAS
Webサーバのレスポンスが異常に悪いので、
何が原因か調べていました。

そうしたらなんと、

iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -P INPUT DROP

こんな感じに、ポート80へのインバウンド接続の許可をやってませんでした。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
これを追加したらはやくなったのですが・・・。

質問なのですが、何故、速度が非常に遅いだけでポート80へのアクセスを許可していないのにも関わらず、
Webサーバにつながったのでしょうか？

ご教示お願いします。

65(1): 2006/02/15(水) 20:00:56 ID:BtY9uoRt(1/2)調 AAS
>>63
iptables の README.Debian (の 1. upgrade notes のとこ) 読んだほうがいいんじゃないか?

66(1): 2006/02/15(水) 20:05:45 ID:PrFj9feQ(1)調 AAS
>>64
>iptables -A INPUT -i lo -j ACCEPT
127.0.0.1:80でコネクトしてない？

67(1): ◆/UXtw/S..2 2006/02/15(水) 21:41:01 ID:lHSZilu7(1)調 AAS
>>64

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

で、一定量の TCP 新規接続を許可してるから。

68: 64 2006/02/15(水) 21:43:24 ID:pFaenui0(2/3)調 AAS
>>66
ご回答ありがとうございます。

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

ポート80へのインバウンド接続の許可(iptables -A INPUT -p tcp --dport 80 -j ACCEPT）を行っていない状況でも、
この2行があれば非常に遅い（※1)ですが通信できましたが、この2行を削除したら完全に接続できなくなったようです。

※1
画像まで表示させるには大量のリロードが必要だったりページ自体へアクセスできる確率が半分以下だったり、
一般のブラウザで30秒近く表示されないこともある。

もっと実験したいところですが、実働しているサーバなので、これ以上実験するとまずそうですので、
実験環境を作っていろいろ試してみようと思います。

69(2): 64 2006/02/15(水) 21:47:39 ID:pFaenui0(3/3)調 AAS
>>67
ありがとうございます。
SYNフラッド対策としてその1行を加えるべきだという解説をしているサイトが結構あったので、
「Pingを1秒に1回許可する。」みたいに「SYNというPingみたいなもんを1秒に1回許可する。」ような設定だと勘違いしていました。
外部ﾘﾝｸ:www.google.co.jp

70(1): 2006/02/15(水) 22:12:38 ID:hLM2TSS7(2/2)調 AAS
>>65
woodyからdist-upgradeした場合ね。

71: 2006/02/15(水) 22:16:20 ID:U3aF0Irf(2/3)調 AAS
>>69
iptablesでは先に実行されたコマンドが優先されるから、
synフラッド対策のコマンドの前に
iptables -A INPUT -i eth0 -p tcp -m state --state NEW --destination-port 22 -j ACCEPT
(ただし、グローバルにつながっているデバイスがeth0)
すれば解決。

72: 2006/02/15(水) 22:17:20 ID:U3aF0Irf(3/3)調 AAS
すまん上の 22 じゃsshだｗ 80に書き換えてね

73(1): 2006/02/15(水) 23:28:09 ID:BtY9uoRt(2/2)調 AAS
>>70
いや、だから Sarge 以降のインストーラを使った人は
/var/lib/iptables/ というディレクトリ自体がないんじゃないの?
# うちは Woody から dist-upgrade したのばっかりだから確認してないけど、
# dpkg -L iptables を見たかぎりでは、ない。
つまり >>63 の回答はいささか不適切なのでは?
/var/lib/iptables/active があるのは、
/etc/init.d/iptables がある環境 (Sarge の iptables にはない) で、
sudo /etc/init.d/iptables save active (あるいは save_active) した場合でしょ。
>>61 への回答としては、「ない」というのがふさわしいかと。
自分で iptables-save 使わないかぎり、ないんだから。
README.Debian では /etc/iptables.up.rules (/etc/iptables.down.rules) を
使う例をあげたりもしてる (もちろんそのファイルは自分で作る)。

74: 2006/02/16(木) 00:50:48 ID:K90nrbnE(1)調 AAS
>>73
woodyからって書いてあるじゃん

75: 2006/02/16(木) 13:34:07 ID:Utn4ixIB(1)調 AAS
ではsarge以降の場合は？

76(2): 67 ◆/UXtw/S..2 2006/02/16(木) 23:55:22 ID:e8JdZL9s(1)調 AAS
>>69

いいことを教えてやろう。

分かっている人は、わざわざ分かっているこ
とを www に作業の記録として残す必要がな
い。

だから、www に作業の記録として残ってるよ
うな情報の質なんて余り高くないと思って間
違いない。

というわけで、まずはちゃんと JF とか man
ページとか読んでくれ。

77(1): 2006/02/17(金) 00:13:25 ID:8LJubZnx(1/3)調 AAS
>>76
俺アホだからけっこう忘れちゃうから、
テキストに残してるよ。
この値はこんな意味を持っていて、こういうときにいじると～だとか。
プログラムだったらサンプルコードの専用のディレクトリ作ってそこに用途別に保存したり。
みんな忘れないもんなの？

78(2): 2006/02/17(金) 00:27:07 ID:4hf1A87R(1/6)調 AAS
>>77
> みんな忘れないもんなの？
普通はスクリプトにして残しとくじゃん？

で、こないだディスク死んだときにバックアップ探したんだけど、
どうしても見つからなくて、慌てて一から書き直したがｗｗｗｗｗｗ

79: 2006/02/17(金) 00:49:42 ID:8LJubZnx(2/3)調 AAS
>>78
あ、俺もiptablesに関してはスクリプトで残してる。
サーバとかは設定ファイルごと保存したり。

80(1): 2006/02/17(金) 01:46:03 ID:MxIekRNL(1/4)調 AAS
RTFM

81: 2006/02/17(金) 02:04:44 ID:8LJubZnx(3/3)調 AAS
>>80
はいはいﾜﾛｽﾜﾛｽ
ドキュメントの自分が必要な部分をまとめて文書化してるだけですよ

82: 2006/02/17(金) 02:53:36 ID:4hf1A87R(2/6)調 AAS
日本国内のMLや掲示板でRTFMとか書いてる低脳は放置で。

83: 2006/02/17(金) 08:35:23 ID:MxIekRNL(2/4)調 AAS
なんて被害妄想なんだろうwww

84: 2006/02/17(金) 15:55:54 ID:4hf1A87R(3/6)調 AAS
相手にされなかったことがそんなに悔しかったのか？

85: 2006/02/17(金) 16:28:58 ID:MxIekRNL(3/4)調 AAS
悔しいもなにも、RTFM は >76 についてレスしたつもりだったんだけど。
Fine の意味でね。
それから、スクリプトを取っておく作業は誰でもやってることだし、自分もそうする。

いつも、そんな喧嘩ごしなの?

86(1): 2006/02/17(金) 17:18:17 ID:4hf1A87R(4/6)調 AAS
RTFMに“Fine”の意味はありません。
誹謗中傷の次は見苦しい言い訳と論点ズラしですか？

87(1): 2006/02/17(金) 17:28:26 ID:E5lP6Xlb(1)調 AAS
fの意味するところは諸説あるが、実際に使われるケースの殆んどはあの単語だ罠

88: 2006/02/17(金) 18:22:13 ID:MxIekRNL(4/4)調 AAS
>86
ごめんな。

89(1): 2006/02/17(金) 19:20:16 ID:4hf1A87R(5/6)調 AAS
>>87
fをfineの頭文字としたところで、文脈上肯定的な表現にはなり得ない。
それはマニュアル作った奴に対する話でしかないし、
fuckin'がかかってるのはmanualじゃないって説もある。
そもそもの話として、fuckin' greatなら最上級の褒め言葉であり、
あの言葉自体の意味は相当に曖昧。

fuckin'だろうとfineだろうと、読み手に対して「読め」と命令するだけなら、
初めからチラシの裏にでも書いとくか、勝手に見下して陰でﾆﾔﾆﾔしてろって話。
ただ威張りたいだけで、人にモノを教えるのがそんなにイヤなら黙ってろと。

90(1): [sage こういうのは罵声でいいと思う] 2006/02/17(金) 21:16:16 ID:omFPvqI6(1)調 AAS
初心者です。iptablesの使い方についていちから教えてください。
RTFMとかドキュメント嫁とだけ書き込む人は返答は不要です。

91: 2006/02/17(金) 21:56:43 ID:PN2x1RuM(1)調 AAS
返答の形式について文句を垂れるような奴は不要です。

92: 2006/02/17(金) 22:54:22 ID:4hf1A87R(6/6)調 AAS
>>90
自分より下の奴がいないと不安でしょうがないのか？

93: 2006/02/18(土) 12:26:16 ID:pR4sac24(1)調 AAS
やっと土日開放されたんだから遊ばせてやれ。

94: 2006/02/18(土) 19:48:24 ID:ouAy6Dzu(1)調 AAS
そういやFC5にGCC4.1は結局間に合うの?

なんかもう諦めたような感じを受けているけど

95(1): 2006/02/19(日) 00:56:56 ID:GpvC0cMf(1/2)調 AAS
通りすがりだけど
>>89 キモイ
早口で変なこといいながら襲ってくるオタクみたいだぞ
とりあえず落ち着け！
匿名の掲示板で場の空気を悪くしてまで優位に立つ(それで立てるかは別として)

96: 2006/02/19(日) 00:57:47 ID:GpvC0cMf(2/2)調 AAS
必要はないでしょ
楽しくやろうぜ

97: 2006/02/19(日) 00:59:42 ID:GnlDjTWS(1)調 AAS
吉野家コピペじゃないけどギスギスしてたほうが2chらしくていいと思う。

98: 2006/02/19(日) 04:29:02 ID:atoXonGC(1)調 AAS
まぁ大抵予定調和だし、ディスプレイの向こう側で本気で怒ってる馬鹿は
そう多くはないからなｗ

優位とか訳の分からない妄言吐いてる>>95みたいのが一番迷惑。
精神的に未熟かつ脆弱な人はヤフーの掲示板でも行ったほうがいいよ。

99: 2006/02/19(日) 04:49:43 ID:6UbP30PD(1)調 AAS
ID変わった直後に「通りすがりだけど」warata

100: 2006/02/20(月) 06:29:44 ID:bWJtKs/w(1)調 AAS
第三者っーか第四者ぐらいからすれば、下らない。どーでも良い。

ちゃねらーとしては、ﾆﾔﾆﾔ。

101: 2006/02/21(火) 02:10:24 ID:63EbBWIi(1)調 AAS
無料で教えてくれはあり得ないよな。

102: 2006/02/22(水) 13:29:00 ID:HHgp7SiR(1)調 AAS
釣りだよ
釣り

釣られんなよ

103: 2006/03/01(水) 23:27:11 ID:jAar/o7d(1)調 AAS
HOST=

# トラフィックコントロールの初期化
tc qdisc del dev ppp0 root

# ppp0にトラフィック制御用のルートクラスをセットする。
tc qdisc add dev ppp0 root handle 10: cbq bandwidth 64Kbit avpkt 1000 cell 8

# 優先度5に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:1 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 5 maxburst 20 avpkt 1000

# 優先度8に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:2 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 8 maxburst 20 avpkt 1000

# $HOSTからのパケットの優先順位を下げる
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src $HOST flowid 10:2
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip dst $HOST flowid 10:2

あるホストとの間でやり取りされるパケットの優先度を下げたいのですが、
これではどうも上手くいきません。どの辺りが不味いでしょうか？

104: 2006/03/02(木) 01:04:33 ID:rYvDSupO(1)調 AAS
#!/Bin/sh
HOST=
# トラフィックコントロールの初期化
tc qdisc del dev ppp0 root

# ppp0にトラフィック制御用のルートクラスをセットする。
tc qdisc add dev ppp0 root handle 10: cbq bandwidth 64Kbit avpkt 1000 cell 8

# 優先度1に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:1 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 1 maxburst 20 avpkt 1000
# 優先度8に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:2 cbq bandwidth 64Kbit rate 8Kbit \
allot 1514 cell 8 weight 1Kbit prio 8 maxburst 20 avpkt 1000

# $HOSTからのパケットを10:2へ
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src $HOST flowid 10:2
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip dst $HOST flowid 10:2
# $HOST以外のパケットを10:1へ
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src any flowid 10:1
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src any flowid 10:1

少し直してこんな感じで。これでもまだ反応が遅いです。

105(1): 2006/03/07(火) 19:54:27 ID:9B8/4CoY(1)調 AAS
-p tcp --syn
と
-p tcp -m state --state NEW
の違いはどの辺なのでしょうか？

106: ◆/UXtw/S..2 2006/03/08(水) 03:04:06 ID:Zbg8WQwt(1)調 AAS
>>105

JF かどこかの FAQ に書いてあったよーな。

-p tcp --syn は TCP のフラグを見るだけ。

-p tcp -m state --state NEW は、過去のコネクション追跡と
比較して、新しいパケットという意味。

正常系だけを考えると同じだけど、
「SYN (だけ)立ってるのに NEW じゃない」とか、
「SYN 立ってないのに NEW」とかは、不正なパケットや
エラーパケット(IP masq してて IP がかわちゃったとか?)
として存在し得ます。

paranoia な人はそういう不正パケットチェックも
してると思うけど、俺はあんま意味ねーと思うよ。

107: 2006/03/09(木) 01:13:45 ID:eoET1/Z4(1/2)調 AAS
レスありがとうございます。
実はアタック対策(？)として

/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/sbin/iptables -A INPUT -p tcp --syn -m state --state ESTABLISHED,RELATED -j DROP

を実行しているのですが、
この場合は
-p tcp --syn
と
-p tcp -m state --state NEW
は同値ということですね。

108: 2006/03/09(木) 07:13:39 ID:eoET1/Z4(2/2)調 AAS
外部ﾘﾝｸ[html]:www.faqs.org

見つけましたー

109: ≠108 2006/03/09(木) 19:32:03 ID:fGEVBiuA(1)調 AAS
外部ﾘﾝｸ[html]:www.asahi-net.or.jp
こっちもあるよ

110(2): 2006/03/11(土) 20:06:57 ID:a5ieCDEi(1)調 AAS
箱物の火壁を使ってて、それをLinuxで置き換えたいと思ってるんですが
どうやればいいか、そもそもできるのかどうか、よく分かりません。
というのは、今使ってる火壁のDMZのネットワークだと、インターネットに
繋がってるネットワークと一緒なんです。火壁は1つしかIPを消費しない。
つまり、たとえて言うと、現在の火壁の設定は、デフォルトゲートウェイが
a.b.c.1で、eth0がa.b.c.2でeth1(DMZ)もa.b.c.2で、eth2(内側)が192.168.1.1
って感じなのです。（a.b.c.xはグローバルIPアドレス）
eth0とeth1が同じIPアドレスなんて、こんな設定はLinuxでは無理ですよね？
グローバルIPアドレスが、（1はゲートウェイだから）a.b.c.2～a.b.c.6の5つ
しかないからすごく貴重で、現在の火壁はそういう意味では偉い。
現在の火壁では火壁にひとつだけ使えばいいのに、Linuxで置き換えたら
ふたつ必要ってなると、ちょっと無理そうだなあって思ってますが、なんか
いい方法あるのかなあ、と。
DMZのeth1には172.16.1.1とか別ネットワークを割り当ててしまうというのが
一般的なやり方なんでしょうか？これはこれでかなり面倒そうですが…

111: 2006/03/11(土) 20:53:50 ID:H2r6YOEG(1)調 AAS
>>110
よくわかってないのに何故置き換えようなんて馬鹿な事を考える？
いまのまま使え。
甘えた事言ってる奴にアドバイスはしないからな。

112(1): 2006/03/12(日) 01:07:47 ID:GaiFjSlp(1)調 AA×
>>110

113: 2006/03/12(日) 14:36:03 ID:fLTGXJ4j(1)調 AAS
>112
そう。今使ってる箱物のやつはたとえて言うなら
そういう風に見える状態です。だから4つの
グローバルIPアドレス（a.b.c.3～6）を外向けに
使えてていて、かつ、そのアドレスでサーバを
立ち上げることができています。

サーバを192.168.0.3で立ち上げておいて
火壁で a.b.c.3 -> 192.168.0.3 みたいなことを
しなくてもいいのでいろいろと簡単なのです。

ひとつのアドレスを諦めるか、NATで我慢するかしか
ないんですかね。

114: 2006/03/12(日) 17:14:33 ID:5LIumG2r(1)調 AAS
プロバとの接続がunnumberedなら普通に動くでしょ。

115(2): 2006/03/19(日) 09:24:14 ID:5na5qPQk(1)調 AAS
iptablesでwinnyを止めることできるかな?
内側からは自由に通信許可して、明示的に20、21、6699はだめとかしている。
なんか方法あるかな?

116: 2006/03/19(日) 09:38:58 ID:Scwfrzf0(1)調 AAS
自分のマシンしかない環境なら任意に決めたポートを塞ぐだけで済むかも
知れんが（その前にWinnyなんて使うなって気がするが）、他人のPCが
持ち込まれる環境なら笊すぎだし、ftpは関係ないだろ

117: 2006/03/19(日) 09:41:43 ID:euH7uiKd(1)調 AAS
>>115
なぜに FTP?
ポート番号変更されたらどうする?
L3 じゃ止められないと思うが。

118: 2006/03/19(日) 11:31:42 ID:ewCnJJtr(1)調 AAS
１つもポートを渡さなければwinnyできないよ

119(1): 115 2006/03/20(月) 12:44:56 ID:i5TAhf8f(1)調 AAS
ftpはただの例としてあげただけ。深い意味はない。
要するに、ポートを指定できないということで、iptablesだけじゃだめってことか。
なんか、上下の流通量の多いポートを発見してとめるというスクリプトを作って
組み合わせるということかなぁ。

120: 2006/03/20(月) 12:59:19 ID:bQJQEw/7(1)調 AAS
>>119
dest port を制限すればいいだろ？
80番でwinny動かしてるやつなんか大していないだろ。
必要な 25 53 80 110 とか以外制限すればいいだけだろ。

121(3): 2006/03/21(火) 15:28:49 ID:PJmbcWTA(1)調 AAS
カーネル2.6.16でULOGがobsoleteになってるんだけど
これからはかわりに何を使えばいいんだろ？

122(4): 2006/03/23(木) 14:19:39 ID:eBmZg9Jf(1)調 AAS
>>121
audit

123: 2006/03/23(木) 20:53:38 ID:3EKkiV1S(1)調 AAS
CentOS 4でうまく動いてたiptablesのルールを
Fedora 5に持ってきたら、以下のところでINPUTが止められて、
外部からsshとかが繋がらないんですが、どなたか原因が分かる人はいませんか？
最後の一行をコメントアウトすると繋がるようになります。

-N FLOOD
-A FLOOD -m limit --limit 20/second --limit-burst 50 -j RETURN
-A FLOOD -j DROP
-A INPUT -p tcp --syn -j FLOOD

124(3): 2006/03/32(土) 11:23:21 ID:OyQ12irH(1)調 AAS
すまん。>>121-122の会話内容が俺にはよくわからん。
ぐぐってもこのスレしかひっかかってこないし。
2.6.16も使いたいんで誰か意味を説明してくれ。頼む。

125: 2006/03/32(土) 14:59:20 ID:g8YJ2JBf(1)調 AAS
わからないなら気にするな

126: 2006/04/05(水) 21:41:09 ID:4+4r2znu(1)調 AAS
>124
俺は2.6.16.1だけど、普通に使えてるよ。
まぁ、>121-122ほど込みいった使い方して無いからなんだろうけどね。
俺はFW目的なので、Forward は使って無い。

127(1): 2006/04/05(水) 22:42:49 ID:MTtWDvot(1)調 AAS
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。

128(1): 2006/04/05(水) 23:14:54 ID:oL77QEW+(1)調 AAS
(･∀･)香ばしいのが現われました(･∀･)

129(1): 2006/04/06(木) 00:29:54 ID:oB5DZ43q(1/3)調 AAS
122だが>>127-128の愚かさに吐き気を催した。

130(1): 2006/04/06(木) 00:41:05 ID:reSxTF4A(1/2)調 AAS
122だが>>122、>>129の愚かさに吐き気を催した。

131(1): 2006/04/06(木) 00:44:36 ID:oB5DZ43q(2/3)調 AAS
>>130
ほぉお前が122なのか？じゃ俺が>>122で書いたことの間違いを訂正してくれよ。
俺は良く調べずにMLで読んだ記憶からあんな事を書いてしまったが、
実際は勘違いもいいところだよな。

132(1): 2006/04/06(木) 00:57:42 ID:oB5DZ43q(3/3)調 AAS
>>124
俺が間違えたせいかな？混乱させてすまん。
2.6.16でもULOGは使える。ただobsolete(旧式)ってコメントが付いただけ。
ULOGの代わりに推奨されてるのはNFNETLINK。
カーネルコンフィグのULOGのhelpを読むと書いてあるよ。
auditは、はっきり言って、関係ないね orz

133: 2006/04/06(木) 01:14:17 ID:u52TkEzX(1)調 AAS
>>132
> >>124
> 俺が間違えたせいかな？混乱させてすまん。
> 2.6.16でもULOGは使える。ただobsolete(旧式)ってコメントが付いただけ。
> ULOGの代わりに推奨されてるのはNFNETLINK。
勝手なことを言ってすまないが、これがわかったときに
ここに書いてほしかった・・・
それでこそ情報の共有ができるかなと思うので・・・

134: 2006/04/06(木) 07:14:55 ID:reSxTF4A(2/2)調 AAS
>>131
ULOGの替わりがauditとかホザいてる馬鹿が何を偉そうにｗ

135(1): 2006/04/06(木) 22:06:32 ID:FBUiV07T(1)調 AAS
2.6.16でiptablesがどうも動作しないなーと思ったら、カーネルの.configが変わっていたらしい。
Netfilter Xtables support、あるいはNETFILTER_XTABLESていうのをYかMにする必要があるんだそうだ。
make oldconfigでは自動でYにはならないので、古い.configから移行するとハマる。

いやー、全然わからなかったよ。

以上チラシの側面だが、同じようにハマっている人のために記す。

136(1): 2006/04/06(木) 22:22:13 ID:UgyJEr7p(1)調 AAS
>>135
チラシの側面に書くのは至難の業では？
米に字が書ける奴はいてもチラシの側面に字が書ける奴は >>135 が初めてだ。

137: 2006/04/06(木) 22:24:04 ID:qRPJk91E(1)調 AAS
>>136
チラシの側面に"書いた"とは書いてないのでは？
あくまでもチラシの側面。

138: 2006/04/06(木) 23:33:18 ID:dzOqsVf1(1)調 AAS
ロールシャッハ・テストのとき紙の側面を見つめるようなら統合失調症だとかいう話？

139: 2006/04/14(金) 14:30:03 ID:LCw0qrIp(1)調 AAS
大陸・かの国フィルター使ってみた

重くなりますた…ｾﾛﾘﾝ400MHｚではきついですね
ってかほかにもﾃﾞｰﾓｿ動いているからってのもあるけど

140(4): 2006/05/13(土) 18:36:18 ID:JVZmSP7e(1/3)調 AAS
iptablesとIPマスカレードについて質問です。

LinuxにNICを二枚差し、をルータとして使用しています。
一枚目はプロバイダ、つまり外部インターネットにつながっています。
二枚目は家庭内部のLANにつながっています。
複数の内部LANから外部インターネットを利用する為に、
iptables/IPマスカレードを使おうと思っています。

実現にあたっての設定ですが、現在以下のようになっています。
-A POSTROUTING -s 192.168.15.0/24 -o ppp0 -j SNAT --to [グローバルIP]
セキュリティ的な問題や、その他注意するべき点等がありましたら、御教授願えませんでしょうか。

関連して、質問があります。仮に設定を以下のようにしたとします。
-A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP]
この場合、外部から入り、外部に出て行く（？）パケットも[グローバルIP]になってしまうのでしょうか？

具体的には、悪意のある人が、外部PCのデフォルトゲートウェイを[グローバルIP]に設定した場合や、
その他ルータやパケットを操作し、[グローバルIP]を経由するような状態になった場合に、
送信元アドレスが[グローバルIP]、すなわち踏み台のように使われてしまうような状態にならないのでしょうか？

141: 140 2006/05/13(土) 18:40:25 ID:JVZmSP7e(2/3)調 AAS
説明下手で分かりにくくて申し訳ありません。(´･ω･`)

142: 2006/05/13(土) 18:49:53 ID:jeSm6rQd(1/2)調 AAS
いまいち何がやりたいのかわからないけど、
SNATには何が書いてあるの？

143: 2006/05/13(土) 18:59:10 ID:ala/Ib1L(1)調 AAS
(･ω･`)

144: 2006/05/13(土) 19:07:56 ID:jeSm6rQd(2/2)調 AAS
すまんSNATか
-j MASQUERADE
じゃいけんの？

145: 140 2006/05/13(土) 20:03:28 ID:JVZmSP7e(3/3)調 AAS
説明不足ですいません。
>>140の設定で目的の、内部PCから外部インターネットへの通信
は問題なく行われています。

IPアドレスの書き換えや通信経路の操作になるので、
どこかにセキュリティ的な問題があるのではないのか心配になった為に質問させていただきました。（無問題という事でよいかも？）
ただ、>>140の二番目に記述した例について気になりまして・・・

環境は以下のようになっています。
「ネットワーク図」
　--[インターネット]--[Linux(iptables)(192.168.15.10/24)]--[内部PC( 192.168.15.50/24 )]
「iptablesの内容」
　-A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP]

普段は内部PCの「デフォルトゲートウェイ」設定として、192.168.15.10を指定しています。
内部PCからインターネットを使用し、IPが記録される掲示板等に書き込んだ場合、
前述のSNAT設定が有効になり、 [グローバルIP]を使用して通信しているとみなされます。

気になっている問題は、外部の全く別のPCのデフォルトゲートウェイの設定を[グローバルIP]に設定した場合に
通信が私のPCを経由し、かつSNAT設定が有効になってしまい、外部PCの通信にも関わらず、
私の[グローバルIP]が通信先に残り、成り済ましや踏み台のようになってしまう可能性が無いのであろうかと心配になってしまったのです。

まったく別の外部PCでは無くても、例えば同一プロバイダの同一ルータの傘下にある、
別のPC等からのデータが流れ着き、上記SNATを経由してしまうような事はありえないと考えてよいのでしょうか？

146(1): 2006/05/13(土) 21:01:31 ID:eHos4yjo(1)調 AAS
>>140
(Xは自然数または0)

「pppX」って、ダイアルアップモデムなどのNICを示すんじゃないの？
今時、pppなんて使わないんじゃ･･･。

そして、「ethX」が、LANなどのネットワークインターフェイスを示すんだと思ったんだけど。

違ったらごめん。

147(3): 2006/05/14(日) 05:22:42 ID:uw7fsQNO(1)調 AAS
>>140
>御教授
御教示

148(1): 2006/05/14(日) 09:19:40 ID:2aZ27yzx(1)調 AAS
>>147
人の間違いを正そうとして自分が間違っているのに気づかない典型的なアホ

149(1): 2006/05/14(日) 09:49:04 ID:uyWCzbT4(1/2)調 AAS
>>147

ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

150(1): 2006/05/14(日) 09:52:47 ID:a11XKTbB(1)調 AAS
>>147
間違いを正そうとするなら、iptablesについても正そうとしてくれたらいいのに……。

151: 2006/05/14(日) 10:24:02 ID:uyWCzbT4(2/2)調 AAS
>>146
> 今時、pppなんて使わないんじゃ･･･。
インターフェイスにppp*使うかどうかは、セッション方法に依存する。
喪前が「ダイアルアップモデム」と呼んでる得体の知れない機器とは関係ない。

>>150
正すって何を？
本人がいいと思うならそれでいいじゃん。

152: 2006/05/14(日) 16:08:46 ID:s62oiPou(1)調 AAS
直接的な嫌味です。

153: 2006/05/16(火) 02:23:55 ID:SvswPURi(1)調 AA×

154(4): 2006/05/16(火) 07:42:51 ID:RKFWJtnS(1/2)調 AAS
ご教授おながいします、なんて言い方は一昔前の文献にはさっぱり出てこない
そもそも教授と教示じゃ教える範囲も全然違う。>>148-149頭大丈夫か？

このネタ、いろんな板で目にするけど、その度に火病るやつがでてる気がする

155: 2006/05/16(火) 08:11:45 ID:j43VJ4tI(1)調 AAS
「おながいします」じゃあ昔の文献には出てこないよねｗ

156: 2006/05/16(火) 08:56:32 ID:RKFWJtnS(2/2)調 AAS
そこはお約束だから＞＜

157: 2006/05/17(水) 21:37:53 ID:eDYbuIcR(1)調 AAS
netfilter の設定に関しては、イマイチよくわからないので、
ウチでは、firestarter で基本設定をして、
kiptablesgenerator での設定を加味した netsipder-firewall を併用している。
この仕組みのいいところは、iptables の設定ファイルが上書きされずにファイアウォールがかかるところ。

158(1): 2006/05/19(金) 13:19:13 ID:s+bFzJ0p(1)調 AAS
-A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT --to hogehoge.aa0.netvolante.jp:8080
エラーになるんだけどFQDN使えない？
使いたい場合どうする？

159: 2006/05/19(金) 21:21:17 ID:4LZjeB02(1)調 AAS
>>158
IPアドレスに変換してから書けばいいじゃないか。

160(4): 2006/05/20(土) 09:20:53 ID:wbrVdSWb(1/3)調 AAS
今、特に困ってるってことではなく、単に後学のために訊ねたいのですが、IPマスカレード（ポートフォワーディング）では
IPヘッダのIPアドレスやTCP/UDPヘッダのポート番号を書き換えることで、まぁある意味、内側のホストが外側の顔に
「なりすます」訳ですね。
でも、ftpをルーティングする場合、PORTコマンドやPASV応答のパケットの「中身」（ヘッダではなく「データ」）を
書き換える必要がありますね。
市販のBBルータ（専用機）ではこの機能を実装したものは多いですが、IPtables では可能ですか？
あるいはその機能を持つ他のルータソフトへの誘導をお願いします。

161: 160 2006/05/20(土) 09:22:03 ID:wbrVdSWb(2/3)調 AAS
>>160ですが、sageてしまったので、age直します。

162(1): 2006/05/20(土) 10:40:01 ID:rUJaMr8Q(1)調 AAS
>>160
カーネル側に nf_conntrack_ftp (2.6.x kernel) というモジュールがあって、
そこでやってる。ftp以外のプロトコルでも同種のものを作成すれば対応可能。

163: 160 2006/05/20(土) 21:24:57 ID:wbrVdSWb(3/3)調 AAS
>>162
ありがとうございます。
nf_conntrack_ftp なるものについて、調べてみまつ。

164(2): 160 2006/05/22(月) 15:41:02 ID:Ra4zmsA2(1)調 AAS
調べたところ、ip_conntrack_ftp と ip_nat_ftp という２つのモジュールが必要な
ようです。
述べたように今特に困っているわけではないのですが、実験のために、自宅鯖に iptables
でルータ立てて試してみました。
/etc/sysconfig/iptables-config に
　　　 IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp"
という行を書いてから iptables を restart させたところ、デフォルトではデータコネクションが
繋がらなかったものが、見事に接続できるようになりました。　さんくすです。

ところで、カーネルモジュールでこの機能を実装しているってことは、ルーティングやパケットフィルタリングの
機能はカーネル（モジュール）側で元々持っていて、iptables はその動作定義／設定をコントロールする
ユーザ I/F でしかない、って理解で良いのでしょうか？

165(1): 2006/05/26(金) 14:06:08 ID:at4IPkiP(1)調 AAS
>>164
# 遅レス

Linuxはずっと昔からパケットフィルタとマスカレードについてはカーネルレベルでの
実装を行なってきた。iptables (古くは ipchains) はそれぞれカーネルへのインター
フェイスでしかない。

FreeBSDはnatdに代表されるようにパケットをユーザランドに持ってきてそこで変換を
かける方式が長く使われてきたが、主にパフォーマンスの問題でカーネル側の実装に
切り替わってる。

166: 164 2006/05/26(金) 18:51:36 ID:SR+w7AHX(1)調 AAS
>>165
> # 遅レス
ノープロブレムです。　ﾏﾀｰﾘとレス待ってましたから。

やはりそういう理解で良いのですね。　よく解りました。　ありがとうございました。

167: [asage] 2006/06/10(土) 13:08:49 ID:QPI+tPHM(1)調 AAS
現在、BフレッツのマルチセッションPPPoE環境を
PC Linuxルーターで構築して利用してます。
で、特に問題は起きてないんだけど、ちょっと技術的興味で質問したいです。

やりたいことは、「LAN内からも同時・安全にPPPoE接続したい」。
WAN側NICとLAN側NICをブリッジすればいい気がするけど、垂れ流しは気持ち悪い。
ので、中継の(FORWARD的な)のPPPoEフレームのみ
WAN側とLAN側でブリッジ出来ないかなと思ったんですが、
このような設定がLinux上で可能でしょうか。

netfilterだけではL2ブリッジ的なことは出来ない?
んー、ちょっといろいろ試してみます。

参考:
外部ﾘﾝｸ[html]:flets.com

168(1): 2006/06/18(日) 05:14:53 ID:lGTsAOkr(1)調 AAS
現在 DMZ に設置したサーバに iptables によるフィルタリングを施そうとしています。

大まかな設定は終えて再起動後、ssh 接続に問題がないことは確認しました。
ただ、ssh を切断し、しばらくたってからまた接続しようとすると
タイムアウトになってしまいます。

サーバー側で iptables -L してから再度接続を試みると繋がります。

放置しとくと ip_conntrack 他関連モジュールが眠ったままなのかと思い
繋がらない時、繋がる時で lsmod の結果を比べてみたのですが違いはありません。
どの辺りを疑って、どこを調べれば良いのかヒントをいただけないでしょうか？

169(1): ◆/UXtw/S..2 2006/06/19(月) 00:19:53 ID:EApbnvKS(1)調 AAS
>>168
・とりあえず、パケットダンプとって、どこで弾かれてるかチェック。
(場合によっては、ルールを全解除した上でパケットダンプとって比較)
・iptables -L -v してパケット数チェックして、弾いてるルールをチェック
(本当に iptables -L が「副作用」を起こしてるのなら使えないけど…)
・他のルータ機器があればそれも疑う

ぐらいか。行きと帰りで経路が違うような routing してるのであれば
routing table の見直しとか、とりあえず ICMP は通してみるようにルールを
ゆるくしてみるとか(limit-burst とか設定してないよね?)

まー、DMZ 作るくらいなら
WAN_IF=...
LAN_IF=...
DMZ_IF=...

とか定義してスクリプト組んでるでしょうから、そこの IPアドレス/IF名をマ
スクした上で、スクリプトここに晒すのが早いんじゃないすか?

170(1): 2006/06/19(月) 01:00:06 ID:HiGMkKGa(1)調 AA×
>>169

171(1): 2006/06/19(月) 21:03:37 ID:0hc1nXBX(1)調 AAS
パーソナルファイアーウォールっていうのかな？
Winであるようなプログラムごとのアクセス制限はできない？

172: 169 ◆/UXtw/S..2 2006/06/20(火) 00:36:13 ID:Nu+KckrO(1/4)調 AAS
>>170
激しく読み違えてた、すまぬ。
ADSL ルータの「なんちゃって DMZ」の問題である気が激しくします。

それはさておき、SSH が切れるパターンってどのパターンですかね?
ってな辺りも、書いておいてもらえると吉。

173(3): ◆/UXtw/S..2 2006/06/20(火) 00:43:30 ID:Nu+KckrO(2/4)調 AAS
>>171
いちおうある。期待したレベルではないと思うが
iptables -A OUTPUT -m owner --cmd-owner hogehoge -p udp -j DROP
とすれば、hogehoge コマンドからの udp は全部落とすとかできそう。

iptables の標準モジュールじゃないかもしれないので、
カーネルとかディストリビューションに依存する可能性あり。

その手のがしたければ、LIDS とか SELinux の方が適してると
思う(けど、やっぱり難しいw

174(2): 2006/06/20(火) 01:38:05 ID:Dflsy3k/(1)調 AAS
>>173
パーミッションで判別する方法があるんですね。
特に必要というわけでもないのですが
個人で使うサーバで必要なポート開けてたら
OUTPUTを制限する意味がないような気がしたもので。
OUTPUTのポリシーはACCEPTにするのが普通なのかな？

175: ◆/UXtw/S..2 2006/06/20(火) 23:45:17 ID:Nu+KckrO(3/4)調 AAS
>>174
owner モジュール(-m owner)ってのは、パケットの生成元に関するモジュール
なので、--cmd-owner はあくまでも「パケットの生成元コマンド名」を指し
示してます。コマンドのファイル属性としての所有者とは関係ありません。
そっちは --uid-owner とかです。

しかし、このモジュールの naming センスは悪いね。
普通は --owner-cmd とか --owner-uid とするでしょうに。

176: ◆/UXtw/S..2 2006/06/20(火) 23:57:13 ID:Nu+KckrO(4/4)調 AAS
>>174
サーバーでの OUTPUT 制限は、crack された場合に、
その兆候の発見と被害拡散防止に役立つと思うよ。

たとえば www と DNS しかサービスしてないなら、(かつログでは
ドメイン名解決なしなら) OUTPUT の --state NEW な接続は
DNS のゾーン転送だけ開けておけば十分でしょ。

メールでログレポートを送ることがあるなら、追加で submission/smtp
だけ開ければ十分。この場合、当然中継サーバは決まってるだろうから、
その IP の組合せの場合だけ許可。

で、OUTPUT の --state NEW で drop したパケットがあったら
ログ取りするようにしておけば、何かおかしかったらすぐに
(swatch とかと組み合わせて)発見できるかもよ。

177(2): 2006/06/26(月) 11:08:28 ID:HckK78WW(1)調 AAS
＠ITでiptablesを勉強してたのですが、↓のテンプレで
外部ﾘﾝｸ[html]:www.atmarkit.co.jp
最後に-j LOGでログを取り、直後にDROPしているのですが、
これはポリシーでINPUT -P DROPとしているから必ずしも必要ではないと思うのですが、どうでしょうか？
実際LOG直後のDROPを消してもちゃんとDROPしてくれました。

ただ、manでLOGの説明を見ると、non-terminatingだからLOGした後DROPしろって書いてあるんですよね・・・
ポリシーをACCEPTにするときもあるかもしれんから、LOG直後にDROPする癖をつけとけってことでしょうか？

178(1): ◆/UXtw/S..2 2006/07/01(土) 02:19:08 ID:/p3qWt1T(1)調 AAS
>>177
基本的には、単にスタイルの問題だと思うが。
この手のは、大抵はチェイン名は LOGDROP とかにするもんだけどな。
それだったら違和感ないべ?

ポリシーがどうとかではなく、「その場所まで来たパケットは
LOG して DROP」という対処をしたいのであっって、その
DROP が*たまたま*ポリシーと一緒というだけだ。

> ポリシーをACCEPTにするときもあるかもしれん
まーそういうこった。

179: 177 2006/07/01(土) 18:35:18 ID:AZfWH4aW(1)調 AAS
>>178
なるほど。ポリシーというのはあくまで補助的なものとして考えるってことすかね…？
まぁ結局個人のスタイルの問題だからあんま気にスンナ、好きにしろってことで解釈しときます

レスありがとうございました

180(2): 2006/07/18(火) 12:42:13 ID:K7r+QlfI(1/2)調 AAS
質問です。
現状はFWとhttp鯖が別なので、FW兼ルータ上で
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.15:80
iptables -A FORWARD -d 192.168.1.15 -p tcp --dport 80 -j ACCEPT
みたいな構文を用いてポートフォワーディングを実現しています。

今度はFW兼ルータ兼http鯖にしようと思っているのですが、
同一マシン上でポートフォワーディングはどうやって実現すればいいんでしょう。

181(1): login:penguin 2006/07/18(火) 21:48:44 ID:XD06MQZ2(1)調 AAS
>>180

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080

182: 180 2006/07/18(火) 23:32:39 ID:K7r+QlfI(2/2)調 AAS
>>181
ありがとうございます

上下前次 1-新書関写板覧索設栞歴

あと 813 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ

ぬこの手ぬこTOP 0.054s